Rorschachs Tagebuch

Fingerabdrucksensoren sind nach wie vor nicht sicher Januar 2, 2009

Filed under: CCC,Sicherheit — Rorschach @ 09:55
Tags: , , ,

Der CCC hat ja schon mehrmals bewiesen, wie leicht es ist einen Fingerabdruck zu fälschen. Die beste Erklärung findet man wohl in diesem Video:

Das gibt es hier auch als mpeg zum Download: klick.

In der anschliessenden Diskussion wurde oft gesagt, dass diese Technik nur bei diesen billig Sensoren möglich ist wie sie in Mäusen, Tastaturen und Laptops vorkommen.

Jedoch sind auch die „richtigen“, also die die Länder zum Beispiel an Grenzen nutzen, genauso leicht zu fälschen. So ist jetzt herausgekommen, dass es anscheinend in Japan bereits normal ist für illegale Einwanderer sich Fingerabdrücke auf Folie zu besorgen um somit die Sensoren an den Grenzen aus zu tricksen.

Interessant vor allem weil auch auf deutschen Reisepässen solch ein Fingerabdruck verpflichtend ist und er für die neuen Personalausweise, zumindest vorerst noch nur auf freiwilliger Abgabe, gespeichert wird.

In den japanischen Medien wird jetzt bereits darauf gedrängt das System zu überdenken und nach Alternativen zu suchen. Man lässt sich imo da auf ein Rennen ein, welches man nicht gewinnen kann. Dieser Wettbewerb: Kontrollmaßnahmen gegen die die sie aushebeln können wird kein Ende finden. Wenn das biometrische Bild nicht gut genug ist, der Fingerabdruck zu leicht zu fälschen, dann bleibt nichtmehr viel außer der Iris (mit Kontaktlinsen eventuell genauso leicht zu fälschen) und natürlich als Ultima Ratio der genetische Fingerabdruck..Ich weiss nicht wie leicht letzterer zu fälschen ist. Wenn sich da ein Standard etabliert, wie dass nur Speichel aus dem Mundraum genommen wird lässt sich dies eventuell auch irgendwie austricksen. Und selbst angenommen der genetische Fingerabdruck wäre sicher, so wäre die genetische Totalerfassung der Bevölkerung wohl ein teurer Pyrus-Sieg für die Zivilisation um ein paar illegale Einwanderer und Terroristen zu überführen.

 

25th Chaos Communication Congress beginnt morgen: per Stream live dabei sein Dezember 26, 2008

Filed under: CCC,Gesellschaft — Rorschach @ 14:26
Tags: , , , ,

Morgen beginnt der 25C3 in Berlin. Wer es nicht kennt: Das ist der jährlich stattfindende Kongress des Chaos Computer Clubs, der dieses Jahr unter dem Titel: nothing to hide läuft. Er dauert vier Tage lang, vom 27.12 – 30.12 und ist mal wieder von morgens bis abends randvoll mit interessanten Vorträgen gespickt, welche parallel in drei verschiedenen Sälen gehalten werden. Die Vorträge decken wie immer eine Menge Themenbereiche wie Technik, Sicherheit, Politik, Gesellschaft aber auch Kunst ab und es dürfte für wirklich jeden was dabei sein.

Wer wie ich dieses Jahr leider nicht vor Ort dabei sein kann hat jedoch zwei Möglichkeiten trotzdem in den Genuß der Vorträge zukommen. Einmal werden die Vorträge aufgezeichnet. In den letzten Jahren waren es nicht alle aber doch recht viele. Diese kann man dann meist schon ein paar Stunden nach dem sie gehalten wurden hier in verschiedenen Formaten herunterladen.

Die zweite Möglichkeit, die ich für eine Neuerung dieses Jahr halte mich aber auch gerne eines besseren belehren lasse, sind Live-Streams aus allen drei Sälen. Die drei URL’s zu den drei Sälen findet man hier.

Also wenn man einen Vortrag sehen will, geht man einfach hin und schaut im Plan nach, wann und wo (also in welchem Saal) er statt findet. Dann nimmt man zu der Uhrzeit zu der der Vortrag beginnt, die Url des Saales und füttert damit seinen Lieblings-Mediaplayer.

Unter VLC geht es unter „Medien -> Netzwerk öffnen“, dort als „Protokoll“ mms auswählen, die Url einfügen und unten auf „Wiedergabe“ drücken. Im Mplayer macht man einen Rechtsklick auf das Mplayer-Fenster und geht auf „Open… -> Play URL…“ und fügt dort den Link ein.

Viel Spass!

EDIT: Zufall oder hat heise von mir abgekupfert? Sie haben eine viertel Stunde später exakt die gleiche Nachricht gebracht: klick 🙂

 

Eine Sicherheitsanalyse von XMPP: sicher chatten mit Jabber, oder doch nicht? Dezember 21, 2008

In der neusten Datenschleuder (#93) welche seit dieser Woche in die Briefkästen ihrer Abonnenten befördet wird ist ein sehr interessanter Artikel von Hannes Mehnert mit dem Titel: „Secure Instant Messaging – am Beispiel XMPP“ .

In diesem Artikel wird sehr schön das XMPP-Protokoll an sich erläutert und dann ausführlich auf verschiedene Sicherheitsaspekte eingegangen. Sowohl die Client – Server, wie auch die Server – Server Verbindung wird dabei analysiert. Dann folgt eine Erläuterung der beiden verbreitesten Verschlüsselungsarten beim IM: OpenPGP und OTR, wie sie funktionieren und was ihre Vor-/Nachteile sind. Danach folgt noch eine kurze Beschreibung über die Funktionsweise und Probleme beim anonymen chatten über XMPP mit Hilfe von Tor.

Bei der Analyse wird auch jeweils auf die Implementationen innerhalb der Clienten: Adium, Gajim, Pidgin und Psi eingegangen, als auch auf die unterschiedlichen Serverimplemenationen ejabberd, jabberd-2 und jabberdI.

Kurze Zusammenfassung des Artikels: Keine momentane Serverimplementation besitzt einen verlässlichen Zufallszahlengenerator welcher Vorraussetzung für eine sichere Authentifizierung mit SASL (DIGEST-MD5) oder Digest-Authentifizierung ist. ejabberd hat jedoch die Nase etwas vorne, da sein Zufallszahlengenerator auch die Millisekunden des Zeitpunktes vom Server-Startup miteinbezieht. Bei den Client-Implementationen sieht es sicherheitstechnisch noch etwas schlechter aus, als bei den Server-Implementationen. So ist zum Beispiel laut Artikel keine stable-Version eines der oben genannten Clienten in der Lage ein Zertifikat für die nächste Verbindung zu speichern und somit die Integrität des Servers zu überprüfen. Psi, Audium und Gajim scheinen dem jedoch in den neusten Versionen in Subversion abgeholfen zu haben, weswegen es sich anbietet die Development-Versionen eines dieser Clienten zu nutzen.

Zu den Verschlüsselungsmethoden: OpenPGP hat den Nachteil, dass sollte jemals der private Schlüssel in die Hände eines Unbefugten gelangen, dieser jede jemals mit ihm verschlüsselte Nachricht entschlüsseln kann. Bei OTR besteht diese Gefahr nicht da bei jeder Verbindung ein neuer Schlüssel ausgehandelt wird. Dafür hat OTR Probleme mit Latenzen, also wenn zum Beispiel eine Nachricht erst ankommt, nachdem bereits ein neuer Schlüssel ausgehandelt wurde kann sie nichtmehr entschlüsselt werden. Dies wird momentan von den Clienten nur bedingt durch einen Nachrichten- und OTR-Schlüsselcache verhindert , welcher aber wiederum die Sicherheit von OTR gefährdet. Offline-Nachrichten sind mit einer sicheren OTR-Implementation auch nicht möglich.

Fazit: Das offene XMPP-Protokoll an sich ist sehr geeignet für eine sichere Kommunikation, doch die momentanen Implementationen lassen noch etwas zu wünschen übrig, auch wenn Fortschritte eindeutig zu verzeichnen sind.

Freundlicherweise stellt Hannes diesen Artikel nicht nur den Lesern der Datenschleuder zur Verfügung (denn die PDF-Variante dieser wird wahrscheinlich erst in ein paar Monaten erscheinen) sondern bietet den vollständigen Artikel auch als Download an: https://berlin.ccc.de/~hannes/secure-instant-messaging.pdf .

 

Datenschleuder #92 des CCC steht nun zum Download bereit November 12, 2008

Mitglieder des CCC und die reinen Abonnenten der Datenschleuder haben sie bereits seit Anfang des Jahres in ihren Händen. Seit heute kann Jedermann die Ausgabe 92, welche durch die Veröffentlichung des Fingerabdrucks von Schäuble von sich reden machte, auf der Webseite des Chaosradios als PDF herunterladen.

Die Themen der Ausgabe sind:

  • Geleitwort / Inhalt
  • Impressum
  • Die Welt von morgen: Mitro AG
  • Warum eigentlich nicht?
  • Was habe ich eigentlich zu verbergen?
  • Das anonyme Preisausschreiben
  • Suchmaschinen, Privatsphäre und andere Illusionen
  • Selbstdatenschutz
  • Interview mit Anne R.
  • BigBrotherAwards 2007
  • Piling more hay
  • Vorratsdatenspeicherung
  • Bastelgimmick
  • Das biometrische Sammelalbum